У меня есть сервер, на котором запущен apache2 в debian lenny.
что-то странное происходит с папками, защищенными .htaccess.
в основном, если вы вводите неправильный пароль, но он состоит из_correct_password + _more_chars, он позволяет вам войти. если вы введете неверный пароль другим способом, то, конечно же, это будет запрещено.
поэтому я спрашиваю, правильно ли это поведение? если вы сначала поставите правильный пароль + любые другие символы позволят вам ввести? как я могу заставить apache проверять точный пароль, а не правильный пароль в начале введенного пароля.
Надеюсь, я более понятно объяснил проблему :)
Вы храните пароли в классическом формате DES "crypt" (длина 14 символов, az, AZ, 0-9, "." И / или "/", например: "papAq5PwY / QQM", без знаков $ в зашифрованный пароль)?
Если да, то это объяснило бы это. Этот формат ограничен 8 символами, поэтому все, что превышает 8 символов, игнорируется. Если правильный пароль состоит из 8 (или более) символов, добавление дополнительных символов в конце не имеет значения.
Чтобы исправить это, используйте вместо этого MD5 или SHA для хранения паролей. Если вы используете "htpasswd
"команда, добавить"-m
" или "-s
"к вашим параметрам при установке пароля.